Interessante articolo apparso stamattina su Punto Informatico nel quale la redazione intervista i dirigenti di Digilab, azienda di Livorno operante nel settore della sicurezza informatica, che ha mostrato come chiamate e messaggi possano essere inviati da un cellulare ma risultare provenienti da un’altra utenza telefonica, ovvero lo Spoofing telefonico.
In pratica la Digilab ha scoperto una falla nel sistema telefonico fisso e mobile che permette di falsificare l’identità telefonica di qualsiasi persona senza che la persona ne venga a conoscenza.
Questo ha enormi implicazioni soprattutto nel campo delle intercettazioni telefoniche usate per le indagini giudiziare: come si fa ad essere certi del chiamante?
Se n’è occupato anche SkyTG24 e su Youtube sono presenti anche diversi video a riguardo ad esempio:
Chissà se Moratti lo sapeva ……
In ogni caso questo bug può essere molto pericoloso e creare situazioni molto imbarazzanti.
22 maggio 2007 alle ore 16:37
Già, questa cosa secondo me era meglio se non la scoprivano, in questo modo verranno messe in discussione anche le intercettazioni telefoniche.
22 maggio 2007 alle ore 18:30
http://andreafortuna.wordpress.com/2007/05/26/digilab-e-spoofing-telefonico-la-scoperta-dellacqua-calda/
Beh, piu’ o meno e’ come se un giorno pubblicassi sul mio blog la notizia a caratteri cubitali “Scoperta Grossa Falla nel protocollo SMTP: e’ possibile inviare mails con l’indirizzo di un’altra persona!”
Con l’avvento della tecnologia VoIp, la modifica del CallerId e’ diventata infatti accessibile a chiunque: basta mettere in piedi un proprio server Asterisk, agganciarsi a un provider Voip che fornisca una certa liberta’ di configurazione (purtroppo quelli ‘free’, come VoipStunt e altri non lo permettono) e inviare chiamate con il CallerID desiderato.
Il CLI infatti altro non e’ che un dato inviato da un terminale a un’altro sulla rete (piu’ o meno come il ‘mail-from’ negli header delle email).
Cito infatti WikiPedia:
Il termine Caller ID, CLID (Calling Line IDentifier) o CLI, viene utilizzato in telefonia per identificare il numero telefonico dell’utente chiamante.
Per poter visualizzare il numero del chiamante, il ricevente deve avere un telefono compatibile CLIP (CLI Present) e una linea telefonica abilitati a ricevere l’informazione. In Italia, su linea fissa, il servizio è disponibile opzionalmente su tutte le linee PSTN mentre è un servizio incluso nel canone di abbonamento delle linee ISDN. La ricezione del CLI è abilitata in automatico su tutte le linee mobili.
La visualizzazione del CLI è soggetta anche alle impostazioni dell’utente chiamante, a questo infatti è data la possibilità di impedire al destinatario della chiamata di visualizzare il proprio numero. Questa funzionalità è comunque limitata e non vale in caso di chiamata a numeri di emergenza pubblica o a numeri verdi.
Il Caller ID è utilizzato in alcuni casi come identificativo dell’utente chiamante per garantire l’accesso a sistemi riservati (esempio significativo è quello delle segreterie telefoniche che permettono la telelettura dei messaggi) tuttavia questo metodo di autenticazione è dimostrato essere molto vulnerabile. Su Internet esistono infatti molti siti che permettono a qualsiasi utente di chiamare facendo sì che al destinatario venga visualizzato un CLI a scelta.
E di questo se n’e’ parlato abbondantemente, a partire dal talk tenuto da Lucky225 al Defcon 12 del 2004.
Girando su internet, poi, ci si imbatte in chi ha realizzato addirittura uno script per asterisk che permette, chiamando un numero registrato sul pbx, di digitare il numero dal quale si vuole far partire la telefonata, il numero da chiamare e poi far partire la chiamata con il callerID ’spoofato’, il tutto in pochissime righe di codice:
//(step 1) Prompt user for input
$agi->stream_file(’enter_spoof’); //(step 2) Grab 10 digits
$result = $agi->get_data(’beep’, 3000, 10);
//set variables and output debug info
$spoofnumber= $result[’result’];
$agi->verbose(”Spoof Number:”.$spoofnumber);
//(step 3) Prompt user for input
$agi->stream_file(’call_spoof’);
//(step 4) Grab 10 digits
$result = $agi->get_data(’beep’, 3000, 10);
//set variables and output debug info
$callnumber= $result[’result’];
$agi->verbose(”Number to call:”.$callnumber);
//(step 5) Set callerid to whatever the input was in step 2
$agi->set_callerid($spoofnumber);
//(step 6) Make call to number from input in step 3 and 4
$agi->exec(”Dial IAX2/yourpassword@provider/1″.$callnumber);
E se non sbaglio nel video tanto discusso Marzini digita un numero, attende un segnale, poi digita un’altra serie di caratteri: a occhio e croce, segue proprio i passi dettati dallo script citato qualche riga fa.
In ultimo, esistono provider Voip commerciali che forniscono nativamente la modifica del CallerID: uno tra tutti Voicetrading.com, della Betamax (la stessa di VoipStunt e VoipBuster), servizio a pagamento dedicato esclusivamente alle aziende con partita IVA.
Concludendo, a mio avviso ci si trova davanti a una classica NON notizia, come le tante che i nostrani giornalisti partoriscono quando tentano di affrontare argomenti tecnici senza averne le basi: la ‘falla’ in questione esiste da sempre , nessuno l’ha mai tenuta nascosta, quindi anche la ’scoperta’ e’ una NON scoperta!
Il buon Alessandro Marzini, dal canto suo, ha cavalcato l’onda probabilmente con l’idea di fare un po’ di pubblicita’ alla Digilab; e infatti conclude l’intervista con una frase sibillina:
noi non abbiamo inventato nulla ma semplicemente scoperto qualcosa che, non saprei dire da quando, qualcuno ha utilizzato ed utilizza quotidianamente alle spalle delle gente e delle istituzioni; per questo, ci dichiariamo a disposizione di chiunque – magistratura, forze dell’ordine, avvocati, cittadini – ritenesse di dover approfondire un argomento di attualità così delicata e, perché no, anche di collaborare con gli Operatori telefonici ed offrire le nostre conoscenze.
(Gratis, vero?)
30 maggio 2007 alle ore 20:04
nn ce la faccio più!!!chiamano la mia raga con il mio numero di casa!!!vorrei sapere la procedura x riuscire a falsificare il numero chiamante e se è possibile risalire al colpevole di questo spiacevole inconveniente…..aiutatemi!!!!
15 settembre 2007 alle ore 11:01
io nn ho capito come si fa….per favore…anke a me fanno disperare con quella cosa…per favore che me la spiega???
18 giugno 2008 alle ore 15:43
nn ci capisco gniente xfavore……qualc’uno mi puo spiegre?????
18 giugno 2008 alle ore 20:12
Provate a chiedere all’interno del nostro forum.
Io non ti so dire.
18 giugno 2008 alle ore 21:21
sul forum nn riesco a trovare la pagina giusta….perche nn mi spiegate qua…per favore…
19 giugno 2008 alle ore 11:32
Io se lo sapessi te lo spiegherei volentieri, ma non lo so.
Sul forum ti registri e poi vai all’interno della sezione cellulari generale:
http://www.cellularmagazine.it/forum/cellulari-generale-e-altre-marche-vf2.html
20 giugno 2008 alle ore 11:19
vorrei essere contattato in e mail per capire come realmente funziona qst cosa del falsificare il caller id visto ke nn si capisce niente sopra
11 settembre 2008 alle ore 17:28
Ciao a tutti…per favore se potete aiutarmi riguardo alla questione di falsificare il caller id! Nessuno mi sa spiegare e sono vittima da 2 anni, sono anche in causa con la persona diretta e mi servirebbe una dimostrazione o meglio ancora il metodo per farlo!! Grazie
2 febbraio 2009 alle ore 17:44
Guarda non penso proprio troverai qualcuno che spiega una cosa del genere.
Ma se fai causa e denuncia ai carabinieri, credo che con facilità individueranno il colpevole.
3 febbraio 2009 alle ore 11:02